Transcription
Einführung eines ISMSnach ISO 27001Kai Wittenburg,Geschäftsführer/CEO, ISO27001-Auditor (BSI)
Was ist Informationssicherheit?§ Vorhandensein von– Integrität– Vertraulichkeit und– Verfügbarkeitin einem geplanten Ausmaß.17.10.112
DIE BedrohungWichtigste langfristige Bedrohungsquelle:Mitarbeiter („HumanOS“)§ § § § § „Schwächstes Glied“ in der SicherheitsketteFehlende Sicherheitskenntnisse/ SchulungenFehlende umfassende personelle KonzepteLeichte Opfer für Social EngineeringOft zu weit reichendeBerechtigungen17.10.113
Sensibilisierung: Tür17.10.114
Sensibilisierung17.10.115
ISO 2700x ISMS StandardsISO 27000 Terms and DefinitionsISO 27001Information Security Management SystemISO 27005RiskManagementModel for establishing, implementing,operating, monitoring, reviewing,maintaining and improving anInformation Security Management SystemBS7799-217.10.116
ISO 2700x ISMS StandardsISO 27000 Terms and DefinitionsISO 27001Information Security Management SystemISO 27005RiskManagementISO 27002Code of PracticeSet of controls, including policies, processes,procedures, organizational structures,software/ hardware functionsBS7799-117.10.117
ISO 2700x ISMS StandardsISO 27000 Terms and DefinitionsISO 27001Information Security Management SystemISO 27005RiskManagementISO 27002Code of PracticeISO 27003Implementation GuidanceInstructions how to [technically]implement ISO 2700117.10.118
ISO 2700x ISMS StandardsISO 27000 Terms and DefinitionsISO 27001Information Security Management SystemISO 27005RiskManagementISO 27002Code of PracticeISO 27003Implementation GuidanceISO 27004Metrics and MeasurementsDefinition of KPIs, quantitative/qualitative measurements, metrics etc.17.10.119
ISO 2700x ISMS StandardsISO 27000 Terms and DefinitionsISO 27001Information Security Management SystemISO 27005RiskManagementISO 27002Code of PracticeISO 27003Implementation GuidanceISO 27004Metrics and MeasurementsISO 27015 Accreditation Guidelines17.10.1110
Sicherheit als Prozess (PDCA)Der SicherheitsprozessInitiierung des Sicherheitsprozesses:- Erstellen einer ISMS Policy- Einrichten eines IT-SicherheitsmanagementsIT-Sicherheitskonzept: Identifikation von ControlsUmsetzung:Realisierung fehlender Controls (Kontrollmechanismen)insbes. in den esondere§ Sensibilisierung für IT-Sicherheit-Technik§ Schulung zur terhaltung im laufenden Betrieb17.10.1111
Sensibilisierung: SchrankeBielefeld17.10.1112
5 Schritte zum ISMS1. Schritt Managementunterstützung für ISMS Einführung undAufbau2. Schritt Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy)3. Schritt4. Schritt5. Schritt17.10.11 Organisationsanalyse Risikoanalyse Identifikation von Kontrollmechanismen und Maßnahmen (Aus-)Gestaltung des ISMS13
Initiierung des ITSicherheitsprozesses§ GrundregelnVerantwortung desManagements– Die Initiative für ITSicherheit geht vomManagement aus.– Die Verantwortung für ITSicherheit liegt beimManagement.Einrichten desIT-Sicherheitsmanagements– Nur wenn sich dasManagement um ITSicherheit bemüht, wird dieAufgabe "IT-Sicherheit"wahrgenommen.– Vorbildfunktion17.10.1114
5 Schritte zum ISMS1. Schritt Managementunterstützung für ISMS Einführung undAufbau2. Schritt Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy)3. Schritt4. Schritt5. Schritt17.10.11 Organisationsanalyse Risikoanalyse Identifikation von Kontrollmechanismen und Maßnahmen (Aus-)Gestaltung des ISMS15
5 Schritte zum ISMS1. Schritt Managementunterstützung für ISMS Einführung undAufbau2. Schritt Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy)3. Schritt4. Schritt5. Schritt17.10.11 Organisationsanalyse Risikoanalyse Identifikation von Kontrollmechanismen und Maßnahmen (Aus-)Gestaltung des ISMS16
Netzplan17.10.1117
Netzplan - bereinigt17.10.1118
Grundschutzkataloge§ Bausteinbeschreibung§ Darstellung der Gefährdungslage§ anung und KonzeptionBeschaffung (sofern erforderlich)UmsetzungBetriebAussonderung (sofern erforderlich)Notfallvorsorge19
GrundschutzkatalogeWWWIT- GrundschutzkatalogeN-27.3 FirewallTK-1N-17.11 Router/SwitchesC-18.6 Mobiltelefon 5.7 Win2K Client17.10.11S-16.9 Win2K ServerC-25.3 Tragbarer PC20
Basis-SicherheitscheckServer AIT- ‐GrundschutzmodellServer CServer ngRouter A2 efizitäreMaßnahmen17.10.1121
5 Schritte zum ISMS1. Schritt Managementunterstützung für ISMS Einführung undAufbau2. Schritt Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy)3. Schritt4. Schritt5. Schritt17.10.11 Organisationsanalyse Risikoanalyse Identifikation von Kontrollmechanismen und Maßnahmen (Aus-)Gestaltung des ISMS22
SchutzbedarfsfeststellungDefinition derSchutzbedarfskategorien§ Definitionen der Kategorien müssenindividuell angepasst werden§ Normal– Schadensauswirkungen sind begrenzt undüberschaubar.§ Hoch– Schadensauswirkungen können beträchtlichsein.§ Sehr hoch– Schadensauswirkungenkönnen ein existentiellbedrohliches, katastrophalesAusmaß erreichen.Rechtliches, Datenschutz, Marketing, Finanzen,Gesundheit. Vertraulichkeit, Integrität, Verfügbarkeit17.10.1123
iveausehr hochhochnormalIT-GrundschutzProzess 117.10.11Prozess 2Prozess 324
Höherer hkeit17.10.1125
Höherer beseitigung planenHöchste PrioritätAkzeptieren chkeit17.10.1126
Abgestufte RisikobewältigungGesamtrisikoRestrisiko17.10.1127
5 Schritte zum ISMS1. Schritt Managementunterstützung für ISMS Einführung undAufbau2. Schritt Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy)3. Schritt4. Schritt5. Schritt17.10.11 Organisationsanalyse Risikoanalyse Identifikation von Kontrollmechanismen und Maßnahmen (Aus-)Gestaltung des ISMS28
Sicherheit als Prozess (PDCA)Der SicherheitsprozessInitiierung des Sicherheitsprozesses:-Erstellen einer ISMS Policy-Einrichten eines IT-SicherheitsmanagementsIT-Sicherheitskonzept: Identifikation von ControlsUmsetzung:Realisierung fehlender Controls (Kontrollmechanismen)insbes. in den esondere§ Sensibilisierung für IT-Sicherheit-Technik§ Schulung zur terhaltung im laufenden Betrieb17.10.1129
NotfallvorsorgeInitiierung desNotfallmanagementsErstellung einesNotfallvorsorgekonzeptsAufrechterhaltung undkontinuierlicheVerbesserungUmsetzung desNotfallvorsorgekonzeptsTests und Übungen,Notfallbewältigung17.10.1130
Finanzinstitute8 StundenColdStand-ByHardware1 TagDienstleister- VerträgeCold-Stand-By RZSchaden fürKMUHot-Stand-By RZSchadenshöhe / KostenNotfallvorsorge2 TageHandlung nachNotfallplan4 Tage1 Woche1 MonatZeit4 Stunden1 Minute17.10.1131
RisikobewältigungGesamtrisikoRestrisiko17.10.1132
neam IT-Services GmbHStand C11Technologiepark 21D-33100 Paderborn 49 5251 1652-0 49 5251 1652-444http://www.neam.deinfo@neam.de17.10.1133
ISO 27002 Code of Practice Set of controls, including policies, processes, procedures, organizational structures, software/ hardware functions BS7799-1 . 17.10.11 8 ISO 2700x ISMS Standards ISO 27000 Terms and Definitions ISO 27005 Risk Management ISO 27001 Information Security Management System ISO 27002 Code of Practice ISO 27003 Implementation Guidance Instructions how to